Stockage objet : Scality refaçonne Artesca pour la sauvegarde anti-malware
Avec sa version 2.0, Artesca change d’objectif. D’un stockage objet d’appoint pour Kubernetes, il mute en un système optimisé pour l’hébergement des sauvegardes, avec une multitude de verrous contre les cyberattaques.
Scality lance la version 2.0 d’Artesca, la déclinaison « light » de son système de stockage objet Ring. Cette mise à jour bénéficie d’une structure durcie contre les ransomwares, ce qui change totalement son positionnement commercial.
Alors que Ring peut stocker plus de 100 Po de données et qu’il supporte quantité de requêtes en parallèle pour servir simultanément plusieurs applications d’analytique et/ou de diffusion de médias, Artesca est plafonné à 5 Po de capacité et n’est conçu que pour servir une seule application à la fois. Initialement, Artesca avait vocation à plutôt être utilisé comme un stockage d’appoint pour le développement des applications « web-native » (en containers).
Mais Scality s’est rendu compte que nombre d’entreprises l’utilisaient plutôt comme support de sauvegarde. Paul Speciale, le directeur marketing de l’éditeur, évoque 30 % des cas.
L’éditeur a donc revu la conception de son système pour mieux l’adapter à cet usage. « Nous avons mis au point un stockage objet incassable et immuable », se félicite Paul Speciale.
Une appliance verrouillée de l’OS au stockage
D’abord, Artesca 2.0 connaît une déclinaison prête à l’emploi sous la forme d’une appliance virtuelle au format OVA (Open Virtual Appliance, compatible tous hyperviseurs). Le Linux qui se trouve dans cette appliance (que l’on peut aussi installer sur un serveur physique dédié) a été configuré pour verrouiller les accès aux couches basses et a été nettoyé des vulnérabilités généralement utilisées dans les cyberattaques.
Pêle-mêle, le nombre de paquets installés a été considérablement réduit, les ports réseau non essentiels sont définitivement fermés, l’administrateur ne peut plus donner d’ordre sans passer par un système d’authentification multifacteur, un firewall bloque les accès suspects, etc.
Ensuite, le système de stockage lui-même est renforcé de plusieurs manières :
Le verrouillage des objets, avec la possibilité pour l’entreprise de définir des verrous pour des durées spécifiques ou de s’assurer que les données ne puissent pas être déverrouillées, sauf par le biais d’une authentification multifactorielle, par exemple. Le mode dit de conformité selon Scality, qui offre une fonctionnalité de type WORM, est étroitement lié à ce fonctionnement.
Un partenariat avec Veeam pour que, dans sa version V12, les sauvegardes soient directement écrites sur Artesca en mode objet. Auparavant, les sauvegardes utilisant le stockage objet comme cible devaient passer par des protocoles basés sur des fichiers, ce qui pouvait induire des failles.
La restauration instantanée, qui relève d’une refonte totale de la manière de restituer des contenus.
La résistance à l’exfiltration des données, grâce au découpage des données en milliers de morceaux éparpillés, que des malfaiteurs trouveraient « indéchiffrables » s’ils parvenaient malgré tout à y accéder.
« Nous devons être forts dans tous les dispositifs de défense possibles, au cas où d’autres couches de la pile logicielle seraient brisées. »
Paul SpecialeDirecteur marketing, Scality
Paul Speciale évoque une conception en oignon : « le stockage fait partie des actifs critiques d’une entreprise. Si l’immuabilité [le mode WORM, N.D.R.] est aujourd’hui un impératif, nous devons être forts dans tous les dispositifs de défense possibles, au cas où d’autres couches de la pile logicielle seraient brisées. »
Vu les efforts déployés pour faire d’Artesca un système de stockage taillé pour la sauvegarde, on pourrait se demander ce qu’il advient de sa fonction d’origine, qui était, rappelons-le, de servir de stockage d’appoint sur les clusters Kubernetes de développement.
« Cet usage est toujours possible. En revanche, vous ne pouvez plus installer Artesca comme un container. Désormais, il s’agit d’une archive tarball que vous installez au niveau du Linux qui exécute Kubernetes. Vous ne pouvez plus le décommissionner ou lui imposer des règles de fonctionnement comme vous le faites avec un container », indique Paul Speciale.
